Identity Management

(1)

1

Hans Pfeiffenberger, Alfred Wegener Institut

Identity Management Workshop Universität Bremen 2005-06-13

Identity Management

Einführung in die Diskussion

Hans Pfeiffenberger

Alfred Wegener Institut, Bremerhaven

Agenda

Begriffe (Damit wir alle über dasselbe sprechen)

Motivation, strategische Ziele

• Integrierte Informationssysteme (Effizienz des Betriebs)

• eScience / Grids: Zukünftige Forschungs-Infrastruktur

– (für eLearning haben Sie hier andere Experten)

• (Security nur am Rande => besonderes Thema)

(Institutions-interne) “Geschäftsprozesse”

• Wie wirken sich “Policies” / Regeln aus?

Vorgehensweise(n)

• Best Practise

• F&E-Felder

Zusammenfassung & Ratschlag

(2)

3

Begriffe

Wer darf was (wann und warum)?

Wer hat was wann getan ?

AAA (IAAA, Identifikation+AAA)

• Authentisierung, Autorisierung, Accounting / Auditing

• § technischer Teil von Identity + Access Management

Verzeichnisdienste und mehr

• LDAP, ADS (Identifier, IT-orientierte Inhalte und Struktur)

• + Attribute aus vielfältigen Quellen (HIS, SAP)

(De-) Provisioning (Bereitstellung): Dienste, pro Person

(„Geschäfts-“) Prozesse und Regeln,

• BPR : Business Process Reengineering

Caveat !

Bei Identity Management geht es auch um Technik

• LDAP, ADS, Systemintegration,……

• … in leicht zu unterschätzendem Umfang

Aber weit mehr geht es um Organisation !

• Alle-Mann-Manöver (bei internen Systemen, s. folgende Folie)

• Internationale Gremien, Vertrauensverhältnisse (bei externen Systemen)

Sie werden um Änderung von Regeln und Verfahren nicht herum kommen !!!!

• Weil Sie Ihre Regeln de facto (in aller Konsequenz) gar nicht kennen (oder zumindest nicht aufgeschrieben haben)

• Weil de facto stets Ausnahmen „ad personam“ gemacht werden

– Siehe McRae, gegen Ende!!

(3)

5

Integrierte Informationssysteme (Effizienz)

Geschäftprozesse und Regeln (triviales Bsp.)

Ein Mitglied der Universität darf (muss) einen E-Mail Zugang der Universität nutzen (ZfN-Server,…???)

• .u.U. notwendiger Teil von Workflows (Prozessablauf) !!

Mitgliedschaft wird entweder von Personalstelle oder Immatrikulationsamt bestätigt

=> ab wann kann die Person mit E-Mail arbeiten?

Soll ein(e) frisch berufener Wissenschaftler(in) den Mail-Account schon vor Arbeitsaufnahme nutzen ??

Ausnahmen: Kooperationspartner ??

(4)

7

Deutsche Beispiele (ZKI AK Verzeichnis)

Stenzel Mai 05

eScience / Grid

Grosse globale Kollaborationen – an denen auch

Mitglieder der Universität Bremen mitwirken (könnten)

• CERN (10.000 Personen global),

• ITER (verschränkt mit bestehenden, EFDA)

• IPY 2007-08 (hunderte Institute, Dutzende Schiffe….)

Tausende von EU-Projekten

• Uni HB ist sicher an Hunderten beteiligt ;-))

Alle benötigen informationstechnisch realisierte,

gemeinsame Ressourcen (LHC-Grid, C3-Grid, Wikis)

Virtuelle Organisationen

=> föderiertes Identitätsmanagement

• eduRoam, Shibboleth (nicht oder kaum: PKI, Zertifikate)

(5)

9

Forschungsgebiet IdM (Middleware)

Begriffsbildung

• Single Sign On (SSO) ( § Ein Name, ein Passwort)

• Verzeichnisdienst, Meta-Directory => Identity Management

• Rollen und Rechte (RBAC) (Internet2 „Grouper“)

• Entitlements (Internet2 „Signet“)

Protokolle und Formate

• Kerberos => Shibboleth (Internet2, NMI)

• Radius: SSO simpel, eduRoam WLAN-Zugang (Terena)

• SAML Security Assertion Markup Language (Shib,Industrie)

Organisatorisches

• Föderationen

• Begrenzte Zusammenarbeit, Vertrauen, Verträge

Wieso Forschung ? - RBAC: Musketeers

(6)

11

Signet, Entitlements, L. McRae, Stanford

Middleware Architecture Committee for Education

By Tom Barton, RL „Bob“ Morgan, Internet2 MACE

http://middleware.internet2.edu/MACE/

(7)

13

Zusammenfassung

Identity Management ist technisch und vor allem organisatorisch extrem aufwendig

Technisch gesehen ist IdM nur ein Mittel zum Zweck:

Integrierte Informationssysteme

Es gibt 2-3 mögliche Rechtfertigungen für den Aufwand

• (Bessere “Accountability” i.S. von : Wer konnte / hat was getan.

=> Abschreckung / Verhinderung von Missbrauch)

• Bessere Nutzung der Ressourcen der Universität

• Globale Integration in die entstehenden eScience / Grid Netze

Umsetzung (heute) ist nur sinnvoll, wenn man sich

• intensiv mit Best Practises (global) auseinandersetzt und beraten lässt

• zur Zukunftssicherheit auch auf IdM als F&E-Thema einlässt

Ratschlag

Sie brauchen ein gemischtes Team

• Rektor, Verwaltung, IT und F&L ( als „Betroffene“ + Nutzniesser )

Sie brauchen einen Masterplan

• Was soll wann (zu welchem Zweck) erreicht werden

Das Team studiert Best Practise

Sie lernen nichts, ohne etwas zu tun

• Wenn Sie ab sofort etwas „tun“ (implementieren):

Seien Sie bereit, es in einem / zwei Jahren komplett wegzuwerfen => Spielwiese

Sie brauchen RESSOURCEN – und zwar Personal !!

IdM ist Chefsache, sonst ist sie nicht durchzusetzen !

Identity Management

Identity Management

Einführung in die Diskussion

Hans Pfeiffenberger

Alfred Wegener Institut, Bremerhaven

Agenda

 Begriffe (Damit wir alle über dasselbe sprechen)

 Motivation, strategische Ziele

• Integrierte Informationssysteme (Effizienz des Betriebs)

• eScience / Grids: Zukünftige Forschungs-Infrastruktur

– (für eLearning haben Sie hier andere Experten)

• (Security nur am Rande => besonderes Thema)

 (Institutions-interne) “Geschäftsprozesse”

• Wie wirken sich “Policies” / Regeln aus?

 Vorgehensweise(n)

• Best Practise

• F&E-Felder

 Zusammenfassung & Ratschlag

Begriffe

Wer darf was (wann und warum)?

Wer hat was wann getan ?

 AAA (IAAA, Identifikation+AAA)

• Authentisierung, Autorisierung, Accounting / Auditing

• § technischer Teil von Identity + Access Management

 Verzeichnisdienste und mehr

• LDAP, ADS (Identifier, IT-orientierte Inhalte und Struktur)

• + Attribute aus vielfältigen Quellen (HIS, SAP)

 (De-) Provisioning (Bereitstellung): Dienste, pro Person

 („Geschäfts-“) Prozesse und Regeln,

• BPR : Business Process Reengineering

Caveat !

 Bei Identity Management geht es auch um Technik

• LDAP, ADS, Systemintegration,……

• … in leicht zu unterschätzendem Umfang

 Aber weit mehr geht es um Organisation !

• Alle-Mann-Manöver (bei internen Systemen, s. folgende Folie)

• Internationale Gremien, Vertrauensverhältnisse (bei externen Systemen)

 Sie werden um Änderung von Regeln und Verfahren nicht herum kommen !!!!

• Weil Sie Ihre Regeln de facto (in aller Konsequenz) gar nicht kennen (oder zumindest nicht aufgeschrieben haben)

• Weil de facto stets Ausnahmen „ad personam“ gemacht werden

Integrierte Informationssysteme (Effizienz)

Geschäftprozesse und Regeln (triviales Bsp.)

 Ein Mitglied der Universität darf (muss) einen E-Mail Zugang der Universität nutzen (ZfN-Server,…???)

• .u.U. notwendiger Teil von Workflows (Prozessablauf) !!

 Mitgliedschaft wird entweder von Personalstelle oder Immatrikulationsamt bestätigt

 => ab wann kann die Person mit E-Mail arbeiten?

 Soll ein(e) frisch berufener Wissenschaftler(in) den Mail-Account schon vor Arbeitsaufnahme nutzen ??

 Ausnahmen: Kooperationspartner ??

Deutsche Beispiele (ZKI AK Verzeichnis)

Stenzel Mai 05

eScience / Grid

 Grosse globale Kollaborationen – an denen auch

Mitglieder der Universität Bremen mitwirken (könnten)

• CERN (10.000 Personen global),

• ITER (verschränkt mit bestehenden, EFDA)

• IPY 2007-08 (hunderte Institute, Dutzende Schiffe….)

 Tausende von EU-Projekten

• Uni HB ist sicher an Hunderten beteiligt ;-))

 Alle benötigen informationstechnisch realisierte,

gemeinsame Ressourcen (LHC-Grid, C3-Grid, Wikis)

 Virtuelle Organisationen

=> föderiertes Identitätsmanagement

• eduRoam, Shibboleth (nicht oder kaum: PKI, Zertifikate)

Forschungsgebiet IdM (Middleware)

 Begriffsbildung

• Single Sign On (SSO) ( § Ein Name, ein Passwort)

• Verzeichnisdienst, Meta-Directory => Identity Management

• Rollen und Rechte (RBAC) (Internet2 „Grouper“)

• Entitlements (Internet2 „Signet“)

 Protokolle und Formate

• Kerberos => Shibboleth (Internet2, NMI)

• Radius: SSO simpel, eduRoam WLAN-Zugang (Terena)

• SAML Security Assertion Markup Language (Shib,Industrie)

 Organisatorisches

• Föderationen

• Begrenzte Zusammenarbeit, Vertrauen, Verträge

Wieso Forschung ? - RBAC: Musketeers

Signet, Entitlements, L. McRae, Stanford

Middleware Architecture Committee for Education

http://middleware.internet2.edu/MACE/

Begriffe (Damit wir alle über dasselbe sprechen)

Motivation, strategische Ziele

(Institutions-interne) “Geschäftsprozesse”

Vorgehensweise(n)

Zusammenfassung & Ratschlag

AAA (IAAA, Identifikation+AAA)

Verzeichnisdienste und mehr

(De-) Provisioning (Bereitstellung): Dienste, pro Person

(„Geschäfts-“) Prozesse und Regeln,

Bei Identity Management geht es auch um Technik

Aber weit mehr geht es um Organisation !

Sie werden um Änderung von Regeln und Verfahren nicht herum kommen !!!!

Ein Mitglied der Universität darf (muss) einen E-Mail Zugang der Universität nutzen (ZfN-Server,…???)

Mitgliedschaft wird entweder von Personalstelle oder Immatrikulationsamt bestätigt

=> ab wann kann die Person mit E-Mail arbeiten?

Soll ein(e) frisch berufener Wissenschaftler(in) den Mail-Account schon vor Arbeitsaufnahme nutzen ??

Ausnahmen: Kooperationspartner ??

Grosse globale Kollaborationen – an denen auch

Tausende von EU-Projekten

Alle benötigen informationstechnisch realisierte,

Virtuelle Organisationen

Begriffsbildung

Protokolle und Formate

Organisatorisches

Identity Management ist technisch und vor allem organisatorisch extrem aufwendig

Technisch gesehen ist IdM nur ein Mittel zum Zweck:

Es gibt 2-3 mögliche Rechtfertigungen für den Aufwand

Umsetzung (heute) ist nur sinnvoll, wenn man sich

Sie brauchen ein gemischtes Team

Sie brauchen einen Masterplan

Das Team studiert Best Practise

Sie lernen nichts, ohne etwas zu tun

Sie brauchen RESSOURCEN – und zwar Personal !!

IdM ist Chefsache, sonst ist sie nicht durchzusetzen !